-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
безопасность автологина куками
- Автор темы rotoZOOM
- Дата начала
Modano_88
Guest
rotoZOOM
Это само собой...нет ничего безопасного.МОЖЕТ это громко сказано,но всегда можно найти лозейку.
А как насчёт привязки к IP адресу?Что ты скажешь на это.Ты наверное напишешь"Если кто-то сворует комп,он сможет входить под этим пользователем не стесняясь."
Предложи свой вариант.....!
Это само собой...нет ничего безопасного.МОЖЕТ это громко сказано,но всегда можно найти лозейку.
А как насчёт привязки к IP адресу?Что ты скажешь на это.Ты наверное напишешь"Если кто-то сворует комп,он сможет входить под этим пользователем не стесняясь."
Предложи свой вариант.....!
rotoZOOM
ACM maniac
SiMM Я не критикую. Констатирую факт. Мы сейчас тоже столкнулись с этой проблемой, но здесь компромисс между удобством и защитой.
Например если привязывать кук к конкретному компу посредством того же IP proxy и IP внутри сети (если есть), то диалапщики, DHCPшники не смогут нормально запоминаться.
Если же не привязываться к компу, то я уже писал о возможных последствиях.
Мне кажется надо просто решить, если проект имеет какой-либо коммерческий уклон и там будут присутсвовать реальные финансовые сделки или коммерческая информация, то лучше поберечься и не делать автологина.
Если же это например тот же форум или какой-нить развлекательный сайт (ну или еще что-то в этом роде), то запросто.
Все зависит от степени секретности информации (это я повторяюсь).
Может быть и есть какие-нибудь способы защиты, которые одновременно прозрачны для конечных пользователей, тогда я бы тоже с удовольствием послушал о них.
Например если привязывать кук к конкретному компу посредством того же IP proxy и IP внутри сети (если есть), то диалапщики, DHCPшники не смогут нормально запоминаться.
Если же не привязываться к компу, то я уже писал о возможных последствиях.
Мне кажется надо просто решить, если проект имеет какой-либо коммерческий уклон и там будут присутсвовать реальные финансовые сделки или коммерческая информация, то лучше поберечься и не делать автологина.
Если же это например тот же форум или какой-нить развлекательный сайт (ну или еще что-то в этом роде), то запросто.
Все зависит от степени секретности информации (это я повторяюсь).
Может быть и есть какие-нибудь способы защиты, которые одновременно прозрачны для конечных пользователей, тогда я бы тоже с удовольствием послушал о них.
Gas
он говорит не о краже пароля а о краже куки. а что в ней будет - упер шифр или плайн текст - не важно
вообще разговор пошел бессмысленный.
повторяются всем известные даже не истины, а выкладки, которые любой может сделать сам
-~{}~ 08.12.04 13:31:
rotoZOOM
на будущее, если тебя интересует какой-нибудь вопрос, то САМОСТОЯТЕЛЬНО открываешь НОВУЮ тему, и там его задаешь
он говорит не о краже пароля а о краже куки. а что в ней будет - упер шифр или плайн текст - не важно
вообще разговор пошел бессмысленный.
повторяются всем известные даже не истины, а выкладки, которые любой может сделать сам
-~{}~ 08.12.04 13:31:
rotoZOOM
на будущее, если тебя интересует какой-нибудь вопрос, то САМОСТОЯТЕЛЬНО открываешь НОВУЮ тему, и там его задаешь
Modano_88
Guest
Так возникли вопросы.Когда чел регится я ему устанавливаю куку с логином и паролем.В какой форме должен быть пароль в мд5 или обыкновенно?Это раз.ой вот и всё...
Modano_88
Guest
Нет, это для уточнения!
Просто ведь, когда сохраняешь в мд5 и делаешь запрос в БД сравнивается с тем что есть в БД и не совпадает.Или я туплю?
Просто ведь, когда сохраняешь в мд5 и делаешь запрос в БД сравнивается с тем что есть в БД и не совпадает.Или я туплю?
Modano_88
Guest
Я и храню!Я понял!Просто я затупил реально...сорри!